KDE 세션에 로그인하기 위해 FIDO2 키를 사용하고 있지만 KDE 지갑에는 비밀번호가 필요합니다. 나는 그것을 사용하고 있으며 키, SSH 비밀번호 등을 한 곳에 보관하는 것이 매우 유용하다는 것을 알았습니다. FIDO2 키로 잠금을 해제할 수 있는 방법이 있나요? 아니면 FIDO2를 위한 대체 지갑이 있을까요?
답변1
지갑은 기본적으로 비밀번호로 암호화되어 있으므로 FIDO2를 사용하여 kwallet을 잠금 해제할 수 없습니다. 비밀번호 없는 로그인을 위해 FIDO2를 사용하는 경우 비밀번호가 입력되지 않았으며 로그인된 동안 kwallet을 잠금 해제할 수 없습니다.
참고로 GNOME Keyring에도 동일한 문제가 있습니다. 다음을 참조하세요.Solokey(Yubiko)를 사용하여 비밀번호 없이 로그인한 후 Gnome 키링을 잠금 해제하는 방법은 무엇입니까?
현재 비밀번호 관리자 및 키링 소프트웨어(예: GNOME Keyring, KWallet, KeePass 및 Bitwarden)는 비밀번호를 사용하여 데이터베이스를 암호화합니다. 따라서 비밀번호 없는 잠금 해제를 지원하지 않습니다. 비밀번호 없는 지원은 Bitwarden에 곧 제공될 예정이며 다른 제품에서도 제공될 수 있습니다. GNOME Keyring과 KWallet이 이를 구현하기까지는 시간이 좀 걸릴 것입니다.
내가 수집한 것에서(나도 같은 문제를 겪고 있습니다), Linux 시스템은 일반적으로 로그인을 처리하기 위해 PAM 시스템을 사용합니다. 많은 배포판에는 로그인 시 시스템 키링(GNOME Keyring( pam_gnome_keyring) 및 KWallet()) 을 잠금 해제하도록 설정된 PAM 모듈이 있습니다 . pam_kwallet5KWallet의 경우 kwalletd5잠금 해제를 위해 PAM 모듈에서 호출하는 데몬 입니다 pam_kwallet5.
이것그놈 키링을 잠금 해제하는 방법위 링크에는 Yubico 키와 PGP를 사용하여 키링을 잠금 해제하는 방법이 언급되어 있습니다. 그러나 FIDO2 키만 PGP/GPG를 지원하지 않습니다. 비밀번호로 암호화된 키링은 FIDO2 전용 키를 사용하여 잠금 해제할 수 없습니다. FIDO2는 비밀번호를 제공하지 않습니다. 자격 증명을 확인하는 방법을 제공합니다.
다음은 OP에 대한 답변이 아니지만 최선의 선택은 자동화 시스템에서 무인으로 사용하도록 설계된 비밀 관리자를 사용하는 것입니다. 이를 사용하여 로그인 비밀번호를 저장하고 (위에 링크된 게시물과 같이) 로그인 시 스크립트를 실행하여 kwallet을 잠금 해제할 수 있습니다. 물론 이 접근 방식은 비밀 관리자의 자격 증명을 어딘가에 저장해야 하기 때문에 보안 위험을 증가시킵니다. 그러면 귀하의 세션에 접근할 수 있는 누군가가 귀하의 비밀번호를 검색할 수 있습니다.
떠오르는 두 가지 제품은 다음과 같습니다.
- Bitwarden 비밀 관리자(이미 Bitwarden Premium 플랜을 보유하고 있습니다)
- 통로그리고나이무료이고 쉬운 솔루션
고쳐 쓰다: 또는 유형의 SSH 키 age는 지원되지 않습니다 . 따라서 FIDO2 SSH 자격 증명을 사용하여 비밀번호 데이터베이스를 보호하는 것은 선택 사항이 아닙니다.ecdsa-sked25519-skpassage
비밀 관리자의 자격 증명을 디스크에 저장하는 대신 FIDO2 키를 사용할 수 있습니다. 암호화
age도구는 수신자로서 SSH 키에 대한 암호화를 지원하며 OpenSSH는 이제 FIDO2 보안 키를 사용하여 SSH 키 쌍 생성을 지원합니다. 자격 증명을 디스크에 저장하는 대신passageFIDO2 키를 사용할 수 있습니다. (2개의 FIDO2 키를 암호화해야 합니다. 그렇지 않으면 FIDO2 키를 분실하면 잠금을 해제할 수 없습니다passage.) 아직 테스트하지 않았습니다.
하지만 스크립트를 통해 kwallet을 잠금 해제하는 방법을 찾지 못했습니다. kwalletd5도움이 제공되지 않았습니다. KWallet을 GNOME Keyring이나 KeePassXC로 대체할 수 있을 것 같습니다.